Wie man Parsing-Probleme in QRadar ohne technischen Support behebt

Alle QRadar-Produkte können in zwei Gruppen unterteilt werden: Versionen vor 7.2.8 und alle neuesten Versionen.
In QRadar-Versionen 7.2.8+ werden alle Parsing-Änderungen über die WEB-Konsole durchgeführt.
Um ein Parsing-Problem zu beheben, müssen Sie die folgenden Schritte ausführen:

• Erstellen Sie eine Suche auf der Seite Log-Aktivität in QRadar, wo Sie Ereignisse mit Parsing-Problemen abrufen können.

• Wählen Sie ein Ereignis aus, das eine Änderung der Parsing erfordert, indem Sie CTRL oder SHIFT verwenden. Gehen Sie im Menü zu Aktion – DSM Editor.

• Finden oder wählen Sie eine Eigenschaft aus, für die Sie eine Parsing-Änderung wünschen. Wählen Sie im Konfigurationsfenster ‚Systemverhalten überschreiben‘. Im Regex-Feld ist es notwendig, einen regulären Ausdruck zu schreiben, der das erforderliche Feld beschreibt. Wenn Sie alles richtig machen, sehen Sie den Text, der im Protokoll gelb hervorgehoben ist. Das folgende Beispiel:

• Klicken Sie auf Speichern. Überprüfen Sie die Protokolle auf Parsing-Fehler. Wenn Fehler vorhanden sind, wiederholen Sie das Verfahren erneut.

In früheren Versionen von QRadar ist dieses Verfahren etwas anders:

• Sie müssen eine *.LSX-Datei erstellen.
  Die Datei hat eine Struktur. Sie müssen die Feld-Eigenschaft mit Regex zuordnen.
  Die vollständige Dateistruktur ist unten:

• In den ‚pattern id‘-Feldern müssen Sie Regex hinzufügen, die die Felder in den Protokollen an der Stelle ‚DATA‘ beschreibt.
• Nachdem die Erstellung abgeschlossen ist, müssen Sie einen Parser zur QRadar-Konsole hinzufügen. Gehen Sie zum Admin-Tab – Log Source Extensions.

• Fügen Sie den Parser hinzu, wie im unten stehenden Screenshot gezeigt.

• Gehen Sie zur Admin – Logquellen-Seite. Bearbeiten Sie die Logquelle, die den Parser hinzufügen muss.

• Klicken Sie auf Speichern. Überprüfen Sie die Protokolle auf Parsing-Fehler. Wenn Fehler vorhanden sind, wiederholen Sie das Verfahren erneut.

Gehe zu Plattform Beitreten zum Threat Bounty